Questo articolo spiega come verificare la firma PGP di un file scaricato. Dovresti sempre verificare la firma PGP di un file firmato per assicurarti che la versione che hai scaricato sia ufficiale. Per verificare la firma, avrai bisogno della chiave pubblica dell'editore, del file della firma del software e di GnuPG. GnuPG è preinstallato in tutte le distribuzioni Linux, ma dovrai installarlo se utilizzi Windows o macOS.
Passi
Metodo 1 di 2: Linux e macOS
Passaggio 1. Installa GPG se stai utilizzando un Mac
Se stai utilizzando un'installazione Linux al di fuori di macOS, puoi saltare questo passaggio. Gli utenti macOS devono prima installare Homebrew, quindi utilizzarlo per installare il pacchetto software GnuPG:
- Aprire terminale, che troverai in Applicazioni > Utilità.
- Digita /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install.sh)" e premi Ritorno.
- Segui le istruzioni sullo schermo per installare Homebrew.
- Una volta installato Homebrew, digita brew install gnupg e premi Ritorno.
Passaggio 2. Scarica il file della firma PGP
Questo è il file che termina con.sig. Assicurati di salvare il file della firma nella stessa directory del file che desideri controllare.
Un modo semplice per farlo è dal prompt dei comandi è inserire cd nella directory appropriata e scaricare il file utilizzando wget
Passaggio 3. Scarica la chiave pubblica del firmatario
Di solito puoi scaricarlo dal sito Web del firmatario o salvando un allegato di posta elettronica sul tuo computer. Il file della chiave pubblica di solito termina con.asc.
- Come per il download del file della firma, puoi usare wget per scaricare la chiave pubblica.
- Se hai l'ID della chiave ma non un percorso per scaricare il file, usa questo comando per ottenere la chiave: gpg --recv-keys KEYID. Se ricevi la chiave in questo modo, salta il passaggio 4 e vai direttamente al passaggio 5.
Passaggio 4. Importa la chiave pubblica nel tuo portachiavi pubblico
Puoi farlo con il seguente comando in una finestra di terminale:
- gpg --import PUBLICKEY.
- Sostituisci PUBLICKEY con il nome del file effettivo.
Passaggio 5. Verificare la firma
Ora che tutti i file si trovano nelle posizioni corrette, puoi verificare la firma con il seguente comando:
- gpg --verify FILE FIRMA. SIG.
- Sostituisci SIGNATURE. SIG con il nome del file della firma e FILE con il nome del file che desideri verificare.
- Se l'output dice "Buona firma", hai verificato con successo la chiave. Se la firma non è valida, saprai che il file è danneggiato o è stato modificato dopo la firma.
Metodo 2 di 2: Windows
Passaggio 1. Installa Gpg4win
Puoi ottenere l'applicazione da https://www.gpg4win.org/download.html. Durante l'installazione, vedrai un elenco di app che verranno installate, mantieni selezionate le opzioni predefinite.
Il percorso di installazione predefinito è C:\Programmi (x86)\Gnu\GnuPg\gpg.exe. Quando esegui il comando richiesto per verificare la firma, dovrai inserire il percorso completo del gpg.exe file. Se scegli una posizione di installazione diversa, assicurati di ricordare il percorso completo.
Passaggio 2. Scarica la firma PGP
Questo è il file che termina con.sig. Dovrai salvare il file nella stessa directory del file che desideri verificare.
Passaggio 3. Scarica la chiave pubblica del firmatario
Di solito puoi scaricarlo dal sito Web del firmatario o salvando un allegato di posta elettronica sul tuo computer. Il file della chiave pubblica di solito termina con.asc. Anche questo dovrebbe essere salvato nella stessa cartella.
Passaggio 4. Aprire Esplora file di Windows
È l'icona della cartella sulla barra delle applicazioni. Puoi anche aprirlo premendo il tasto Tasto Windows + E.
Passaggio 5. Aprire la cartella contenente la firma e il file che si desidera controllare
Se non vedi un riquadro di navigazione nel pannello di sinistra di Esplora file, fai clic su Visualizzazione menu in alto e selezionare Pannello di navigazione poi Pannello di navigazione di nuovo per tirarlo su. Questo rende più facile trovare quello che stai cercando.
Passaggio 6. Premi ⇧ Shift mentre fai clic con il pulsante destro del mouse all'interno della cartella
Si espanderà un menu.
Passaggio 7. Fare clic su Apri prompt dei comandi qui
Se non vedi questa opzione, seleziona Apri la finestra di PowerShell qui.
Passaggio 8. Importa il file della chiave pubblica nel tuo portachiavi
Ecco come:
- Digita C:\Programmi (x86)\Gnu\GnuPg\gpg.exe --import PUBLICKEY e premi accedere. Sostituisci PUBLICKEY con il nome del file effettivo.
- Se non hai un file contenente la chiave pubblica, ma hai un ID chiave, usa invece questo comando: C:\Program Files (x86)\Gnu\GnuPg\gpg.exe --recv-keys KEYID.
Passaggio 9. Controlla la firma
Ora che i file sono pronti, ecco come verificare la firma:
- C:\Programmi (x86)\Gnu\GnuPg\gpg.exe --verify SIGNATURE. SIG FILE.
- Sostituisci SIGNATURE. SIG con il nome del file della firma e FILE con il nome del file che desideri verificare.
- Se l'output dice "Buona firma", hai verificato con successo la chiave. Se la firma è errata, saprai che il file è danneggiato o è stato modificato dopo la firma.